【技術實現步驟摘要】
本專利技術屬于網絡安全的,具體涉及一種基于踩蜜日志及溯源圖注意力神經網絡的異常節點檢測方法。
技術介紹
1、現有的基于溯源圖學習的異常檢測方法大部分是圖級別和日志級別的,節點級檢測器概念較為新穎,缺少相關的工作。
2、圖級檢測器的大致流程是:將輸入的大規模溯源大圖劃分成小規模的子圖,再對子圖的特征進行學習并進行異常檢測,返回子圖的異常告警情況。現有研究中,manzoor?e等人在文獻《fast?memory-efficient?anomaly?detection?in?streaming?heterogeneousgraphs》中提出的streamspot通過分析信息流圖,利用拆分、相似性計算、映射轉換和聚類分析的步驟,實現對圖形數據動態處理和異常檢測的有效性;但是streamspot系統存在脆弱性,因為其模型容易被攻擊者篡改或誤導,進而破壞檢測準確性;并且其在溯源圖的規模上存在一定限制,難以支持大規模溯源圖的分析和處理,這可能限制了系統在應對復雜或大規模網絡環境下的有效性,從而影響其在實際安全場景中的適用性。而han?x等人提出的unicorn(文獻《unicorn:runtime?provenance-based?detector?for?advancedpersistent?threats》)使用基于wl-kernel(圖核)的方法來提取整個圖的特征,并學習演化模型來檢測異常圖;盡管unicorn結合上下文的圖分析和演化模型在某些方面表現更佳,但受限于圖核方法難以捕捉小批量威脅類型,導致了對于某些隱蔽威脅的缺失
3、日志級檢測器的輸入是主機系統日志或基于主機日志構建的溯源圖,通過提取日志或圖的特征來訓練檢測器,然后檢測返回出現異常的主機系統日志條目。現有方法中,liu?f等人在文獻《a?heterogeneous?graph?embedding?based?approach?for?detectingcyber?threats?within?enterprise》提出了log2vec方法,使用日志構建異構圖,然后基于圖嵌入提取日志向量,并基于聚類檢測惡意日志;雖然log2vec能夠將相關的良性操作和惡意操作分離成不同集群,且對惡意操作進行更精確的檢測與診斷,但是在異常日志檢測中,對于某些特定惡意行為或變體的識別可能不夠靈活;因為其主要依賴于圖嵌入和聚類方法,對于某些復雜的、不同于常規模式的惡意行為,可能無法充分捕捉其特征,進而導致檢測準確性降低。另一種日志級檢測器deeplog(du?m等《deeplog:anomaly?detection?anddiagnosis?from?system?logs?through?deep?learning》)使用長短期記憶網絡(lstm)對正常日志模式進行建模,并基于偏差檢測異常日志;但由于日志數據的非結構性和多樣性,deeplog可能會面臨在不同系統或環境下泛化性能不足的挑戰,這可能導致模型對于新的日志模式適應速度較慢,需要大量新數據進行重新訓練,且對于極端異常情況的檢測可能不夠靈敏;同時,deeplog在處理并發任務或線程產生的日志信息時,會難以對這些并發信息進行有效的建模和識別,從而影響了整體異常檢測的準確性和效率。還有一種基于注意力的雙向lstm模型logrobust(zhang?x等人《robust?log-based?anomaly?detection?onunstable?log?data》),通過捕捉日志序列中的上下文信息,識別和處理不穩定的日志事件;雖然其利用注意力機制提高了對日志序列上下文的理解,但對于龐大的日志數據集,模型的復雜性可能導致計算資源需求較高或訓練時間較長,限制了其在實踐中的可擴展性和效率。
4、節點級別檢測器的輸入是主機側系統日志構建的溯源圖,然后對溯源圖中的每個節點(系統實體)的特征向量進行建模學習和異常檢測,對異常的節點(系統實體)進行告警,并返回相關信息。基于溯源圖的節點級異常檢測是一個復雜而具有挑戰性的任務,現有的大部分節點級異常檢測器設計方案,僅僅將現有的圖神經網絡模型直接遷移到溯源圖數據集上,使用良性數據訓練并對未知節點進行分類預測,例如:tgn模型(tgn,emanuelerossi等)、gcn模型(gcn,thomas?n.kipf等)、graphsage模型(graphsage?williaml.hamilton)等;但直接遷移上述圖神經網絡模型,從理論上完成對溯源圖的節點級別檢測,存在很多缺陷。1、由于溯源圖數據本質上具有復雜的結構和豐富多樣的特征,傳統的圖神經網絡模型在遷移到此類任務時可能無法有效捕捉節點之間的深層次關系和細微屬性,導致特征表示的不充分和不準確,無法深入挖掘和利用節點間的拓撲結構以及節點自身的獨特信息,使得在解析網絡安全事件的真實場景時表現出明顯的不足;2、與圖級異常檢測相比,節點級異常檢測需要對每個獨立節點的行為進行精確判斷,然而現有的圖神經網絡模型往往缺乏對實時網絡環境變化的響應能力,無法有效捕捉到隨時間演化的網絡安全威脅,從而導致無法及時調整其檢測策略來應對新出現的或變化的威脅模式,直接影響檢測的準確性和效率,進而影響整個網絡安全防御的有效性;3、傳統圖神經網絡模型主要設計用于處理靜態或較為簡單動態的圖結構,往往無法面對溯源圖中那些逐漸發展變化或呈現周期性特征的異常模式,使得其在捕捉溯源圖中逐漸演化的異常行為或是識別周期性的模式方面表現不足,導致模型不能有效區分正常的動態變化和真正的異常行為,進而引發誤判,即錯誤地將正常行為識別為異常,從而增加了誤報率。
技術實現思路
1、本專利技術的主要目的在于克服現有技術的缺點與不足,提供一種基于踩蜜日志及溯源圖注意力神經網絡的異常節點檢測方法,在圖神經網絡的基礎上對異常檢測模型進行改進并構建圖注意力模塊提升異常檢測的準確度,同時基于盾立方的四蜜踩蜜日志作為先驗知識,應用于離線訓練和實時在線異常檢測,提高異常檢測器對場景的動態適應性,實現節點級別的異常檢測并構建攻擊場景圖片,有效助力網絡安全威脅的識別。
2、為了達到上述目的,本專利技術采用一種基于踩蜜日志及溯源圖注意力神經網絡的異常節點檢測方法,包括兩個階段;
3、第一階段為離線訓練階段:
4、采集良性無異常的主機側日志數據構建溯源圖,壓縮保存至數組得到訓練數據集;
【技術保護點】
1.一種基于踩蜜日志及溯源圖注意力神經網絡的異常節點檢測方法,其特征在于,包括兩個階段;
2.如權利要求1所述的一種基于踩蜜日志及溯源圖注意力神經網絡的異常節點檢測方法,其特征在于,所述溯源圖包括節點和邊;所述節點表示系統運行主體;所述邊表示系統運行主體間的交互行為;所述節點的類型為系統運行主體的類型,包括進程、文件和套接字;所述邊的類型為系統運行主體間交互行為的類型;
3.如權利要求2所述的一種基于踩蜜日志及溯源圖注意力神經網絡的異常節點檢測方法,其特征在于,節點的行為特征向量包含附屬邊的信息;所述附屬邊包括入邊和出邊;所述入邊表示節點作為目的節點與源節點連接的邊;所述出邊是指節點作為源節點與目的節點連接的邊;
4.如權利要求3所述的一種基于踩蜜日志及溯源圖注意力神經網絡的異常節點檢測方法,其特征在于,節點的行為特征向量的具體提取過程為:
5.如權利要求2所述的一種基于踩蜜日志及溯源圖注意力神經網絡的異常節點檢測方法,其特征在于,節點的語義特征向量采用基于節點路徑的分層特征哈希法進行提取,具體為:
6.如權利要求5所述
7.如權利要求2所述的一種基于踩蜜日志及溯源圖注意力神經網絡的異常節點檢測方法,其特征在于,所述使用訓練數據集的節點特征向量訓練異常檢測模型,具體為:
8.如權利要求7所述的一種基于踩蜜日志及溯源圖注意力神經網絡的異常節點檢測方法,其特征在于,所述節點新表示描述為:
9.如權利要求7所述的一種基于踩蜜日志及溯源圖注意力神經網絡的異常節點檢測方法,其特征在于,所述注意力系數的優化公式為:
10.如權利要求7所述的一種基于踩蜜日志及溯源圖注意力神經網絡的異常節點檢測方法,其特征在于,所述全連接層通過softmax函數預測節點的類別,預測公式為:
...【技術特征摘要】
1.一種基于踩蜜日志及溯源圖注意力神經網絡的異常節點檢測方法,其特征在于,包括兩個階段;
2.如權利要求1所述的一種基于踩蜜日志及溯源圖注意力神經網絡的異常節點檢測方法,其特征在于,所述溯源圖包括節點和邊;所述節點表示系統運行主體;所述邊表示系統運行主體間的交互行為;所述節點的類型為系統運行主體的類型,包括進程、文件和套接字;所述邊的類型為系統運行主體間交互行為的類型;
3.如權利要求2所述的一種基于踩蜜日志及溯源圖注意力神經網絡的異常節點檢測方法,其特征在于,節點的行為特征向量包含附屬邊的信息;所述附屬邊包括入邊和出邊;所述入邊表示節點作為目的節點與源節點連接的邊;所述出邊是指節點作為源節點與目的節點連接的邊;
4.如權利要求3所述的一種基于踩蜜日志及溯源圖注意力神經網絡的異常節點檢測方法,其特征在于,節點的行為特征向量的具體提取過程為:
5.如權利要求2所述的一種基于踩蜜日志及溯源圖注意力...
【專利技術屬性】
技術研發人員:仇晶,宗熠,陳榮融,蔡泳信,陳璽名,田志宏,紀守領,蘇申,徐光俠,胡銘浩,高成亮,李思穎,安西康,倪曉雅,邢家旭,
申請(專利權)人:廣州大學,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。